Wechsel der Rechtsgrundlage nach Widerruf der Einwilligung

Liebe Leser,

im Rahmen einer klinischen Studie wurden Gesundheitsdaten eines Probanden erhoben. Bei der Erhebung wurde der Proband gemäß Art. 13 Abs. 1 lit. c DSGVO dahingehend informiert, dass die Verarbeitung seiner Daten auf Basis seiner Einwilligung erfolgt. Monate später will der Proband seine Einwilligung widerrufen – nun aber teilt der Verantwortliche mit, das er die Daten des Probanden nach Art. 9 Abs. 2 DSGVO auf einer alternativen Rechtsgrundlage weiterhin verarbeiten wird. Auf diesen Wechsel war bei der Erhebung nicht hingewiesen worden.

Ist ein solcher Wechsel der Rechtsgrundlage rechtmäßig?

Insbesondere interessiert mich, ob sich ein klares Verbot oder eine klare Erlaubnis dieses Vorgehens aus der DSGVO – etwa aus Art. 5 Abs. 1 lit. a oder Art. 13 Abs. 1 lit. c DSGVO – eindeutig ableiten lässt, oder ob es sich um eine offene Auslegungsfrage handelt, zu der Aufsichtsbehörden oder Gerichte noch keine abschließende Klärung herbeigeführt haben.

Es ist… nicht unmöglich. Aber warum soll es möglich = zulässig sein?

Art. 9 Abs. 2 ist keine eigenständige Rechtsgrundlage, sondern führt möglcihe Ausnahmen vom Verarbeitungvserbot für Gesundheitsdaten etc. auf. Die Verarbeitung muss erst mal für irgendwas aus Art. 6 Abs. 1 zulässig sein.

Ursprünglich war das wohl die Einwilligung. (Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO; wenn sich die Einwilligung ausdrücklich auch auf Gesundheitsdaten bezog.)

Wird die Einwilligung widerrufen, fällt die Erlaubnis aus Art. 6 u. 9 weg. Die Verarbeitung ist zu beenden (also auch die Daten zu löchen), wenn keine weiteren Rechtsgrundlagen bestehen. Wäre ja möglich, dass die Verarbeitung zusätzlich z. B. zur Vertragserfüllung erforderlich war (Art. 6 Abs. 1 lit. b), und zur medizinischen Diagnostik und Behandlung verarbeitet wird (Art. 9 Abs. 2 lit. h), etwa im Rahmen eines ärztlichen Behandlungsvertrags. Der eingewilligte Forschungszweck ist dann aber nicht mehr gedeckt.

Man könnte prüfen, ob eine Zweckänderung mit den urnsprünglichen (angegebenen) Zwecken vereinbar ist (Art. 6 Abs. 4 DSGVO) und auf welche Rechtsgrundlage (in Art. 6 UND Art. 9) sich das stellen lässt.

Sollen das für Art. 6 “berechtigte Interessen” werden, kann die überraschende Änderung der Rechtsgrundlage oder der Verarbeitungszwecke diese Rechtsgrundlage ausschließen, falls das Grundrechte und Grundfreiheiten unverhältnismäßig strapaziert. Evtl. ist die Interessenabwägung besser aufgestellt, wenn man an geeigneten Schräubchen dreht (z. B. Datenminimierung, Pseudonymisierung, zusätzliche Transparenz).

Andere Meinungen?

D., der bei Forschung immer empfiehlt, eingewilligte Daten so schnell wie möglich auch in einer anonymisierten Variante abzubilden, um nach dem Widerruf wenigstens mit einem eingeschränkten Datensatz weiter arbeiten zu dürfen.

Diese Frage wurde doch, ein wenig konkreter, vor gar nicht allzu langer Zeit schon einmal erörtert…..:innocent:

Behandlungsdaten (=Gesundheitsdaten), die im Rahmen klinischer Studien verwendet werden sollen (und ggf. sogar mit Dritten geteilt werden sollen) stellen immer eine Zweckänderung dar, die einen Erlaubnistatbestand erfordert. Das ist in der Regel eine Einwilligung gem. Art. 6 Abs. (1) lit. a) i.V.m. Art. 9 Abs. (2) lit. a).
Vor jeder Verarbeitung müssen Betroffene informiert werden. Hierzu dient das Dokument Patienteninformation und Einwilligungserklärung. Aus diesem Dokument muss auch hervorgehen, was im Falle des Widerrufs der Einwilligung mit den bereits erhobenen Daten passieren wird.
Gem. Art. 17 Abs. (3) lit. c), Art. 89 Abs. (2) i.V.m. § 27 Abs. (2) können Betroffenenrechte sogar beschränkt werden, wenn diese Rechte die Verwirklichung der Forschungszwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Forschungszwecke notwendig ist.
Darüber muss jedoch vorher informiert werden.

“vorher” bedeutet vor der Unterschrift der Einwilligung. Wie sonst soll über eine Verarbeitung transparent informiert werden?

Nur zum Verständnis:
Die Forschungseinrichtung hat aktiv Probanden gesucht und diese haben sich bei der Forschungseinrichtung zur Teilnahme gemeldet?

Ich gehe davon aus, dass eine Einwilligung für Forschung erteilt wird. Dann kann man in diesem Rahmen als zulässige Verarbeitung eine anonymisierte Variante der Daten erstellen.

Ob anonymisierte Daten dann “wertlos” sind würde von der Fragestellung abhängen. Zumindest hätte man einen strukturierten Dummy, der sich mitzählen lässt.

Das ist sogar eine Auflage aus § 27 Abs. (3) fordert grundsätzlich, dass Forschungsdaten anonymisiert werden müssen, sobald das nach dem Forschungszweck möglich ist.

Steht in der Probandeninformation auch etwas zum Thema, was bei Widerruf der Einwilligung mit den bis Zeitpunkt des Widerrufs rechtmäßig erhobenen Daten passiert?
Das Studienprotokoll selbst können Probanden in der Regel nicht einsehen.

Der kursiv hervorgehobene Satz sagt im übertragenen Sinn, dass die bis zum Zeitpunkt es Widerrufs rechtmäßig erhobenen Daten zu den Zwecken der Studie weiterverarbeitet werden dürfen.

Warum der Verantwortliche eine alternative Rechtsgrundlage aus dem Hut zaubert wird nur dieser selbst wisse. Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten wurde durch Erlaubnistatbestand Art. 9 Abs. (2) lit. a) hergestellt. Auch wenn eine Einwilligung widerrufen wird dürfen unter bestimmten Voraussetzungen (Art. 17 Abs. (3) lit. c), Art. 89 Abs. (2) i.V.m. § 27 Abs. (2)) rechtmäßig erhobene Daten weiterverarbeitet werden.

Wie ich schon geschrieben habe: In der Verarbeitungsinformation ist eine Formulierung enthalten, die klar aussagt, dass die bereits erhobenen Daten nach einem Widerruf der Einwilligung weiter verarbeitet werden dürfen.

Die Rechtsgrundlage/Rechtmäßigkeit ist doch angegeben, die Einwilligung. Nach Widerruf der Einwilligung dürfen keine weiteren Daten mehr erhoben und verarbeitet werden.
Mit dem Widerruf werden die rechtmäßig erhobenen Daten aber nicht zu unrechtmäßigen Daten.
Dass die bis zum Widerruf (rechtmäßig) erhobenen Daten nach dem Widerruf zu Zwecken der Studie weiterverwendet werden dürfen, darüber wurde informiert.

steht in Punkt 7 Datenschutzerklärung. Das verstehe ich genau so, wie es dort steht. Die Daten werden weiter verwendet - oder auf Wunsch/Aufforderung gelöscht.

Wenn die Einwilligung die einzige Rechtsgrundlage war und widerrufen wird, dürfen die Daten auf dieser Basis nicht mehr verarbeitet werden (Art. 17 Abs. 1 lit. b DSGVO). Also unaufgefordert löschen.

Eine Ausnahme von dieser Löschpflicht wäre die Erforderlichkeit der Daten für Forschung (Art. 17 Abs. 3 lit. d); aber 1. “geeignete Garantien” (Art. 89 DSGVO), und 2. “erforderlich”.

D., der in der ursprünglichen Einwilligung solche Einschränkungen des Widerrufs aufgeführt hätte, wenn das vorgesehen war; sonst verletzt das die Grundsätze Transparenz, Treu und Glauben.

diesen Punkt habe ich dann wohl überlesen. Die Fakten wurden aber auch immer nur auf Nachfrage geliefert.
Das Gesamtkonzept der Studie scheint da ein paar handwerkliche Fehler zu haben. Die Aussagen dazu, was mit bereits erhobenen Daten geschehen soll widersprechen sich in Teilen der Einzeldokumente.

Als geeignete Garantie beschreibt Art. 89 die Pseudonymisierung. Die Erforderlichkeit kann sich aus dem Studiendesign ergeben.

Um all das in Gänze zu beurteilen, dazu fehlt es uns allen an konkreten Informationen. Diese Erörterung ist aber auch nicht Sinn dieses Forums. Eine wirklich eindeutige und verbindliche Aussage kann nur die Aufsichtsbehörde und/oder ein Fachanwalt unter Bezugnahme aller Originalunterlagen treffen.